Hemos realizado un par de pruebas de penetración que involucraron puntos finales de GraphQL. Al principio, parecía complejo y esbozamos la metodología y el enfoque para realizar la prueba de penetración. Así es como fue,

Hace poco realizamos otra evaluación interna de la red con el objetivo de obtener acceso de administrador de dominio en la red de destino. Teníamos acceso no autenticado a la red, es decir, un usuario no autorizado o un atacante interno a la LAN del usuario.

Recientemente realizamos una prueba de penetración de red interna para una gran empresa con hasta 3 dominios y más de 2000 hosts. No teníamos ningún conocimiento de la red objetivo (como lo habría hecho un atacante) y nos colocaron en la VLAN del usuario con acceso no autenticado.

¿Qué es lo primero que te viene a la mente cuando piensas en hacer una prueba de red de más de 1000 IP en un par de semanas? ¿Es realmente posible? ¡¡¡La respuesta es SÍ!!!

ColdFusion tuvo varios exploits en el pasado. Como ColdFusion 10 era la versión más reciente y estable de Adobe, era difícil encontrar exploits listos para usar.

Últimamente, las revisiones de código han ido ganando mucha popularidad. Las organizaciones que hasta hace poco se conformaban con una red segura y con alguna que otra prueba de penetración ahora revisan el código de sus aplicaciones antes de lanzarlas.

Ha habido ocasiones en las que un probador de penetración no puede instalar una aplicación iOS en un dispositivo físico mientras realiza una evaluación de seguridad de la aplicación iOS. Esto puede ocurrir por varias razones

Esta es más bien una publicación rápida y pretende ser una nota de referencia para mí (y para todos ustedes).